Um sistema de check-in de resort deixou mais de 1 milhão de passaportes de clientes, carteiras de motorista e fotos de verificação de selfies na net aberta após uma falha de segurança. Os dados agora estão offline depois que o TechCrunch alertou a empresa responsável.
O sistema de check-in do resort, chamado Tabiqé mantido pela startup de tecnologia com sede no Japão Reqrea. De acordo com seu web site, o Tabiq é usado em vários hotéis no Japão e depende de reconhecimento facial e digitalização de documentos para fazer o check-in dos hóspedes.
Pesquisador de segurança independente Anurag Sen contatou o TechCrunch no início desta semana depois de descobrir que o sistema estava vazando documentos confidenciais de hóspedes de hotéis de todo o mundo. Sen disse que isso ocorreu porque a startup definiu um de seus buckets de armazenamento hospedados na nuvem da Amazon, que o sistema de check-in usa para armazenar dados do cliente, para ser acessível publicamente. Os dados contidos podem ser visualizados por qualquer pessoa que make the most of um navegador net, sem a necessidade de senha, sabendo apenas o nome do bucket: “tabiq”.
Sen alertou o TechCrunch em um esforço para ajudar a notificar a empresa. Reqrea bloqueou o depósito de armazenamento depois que o TechCrunch entrou em contato com a empresa e a equipe de coordenação de segurança cibernética do Japão, JPCERT.
Este último lapso sublinha um problema recorrente de empresas que expõem ou divulgam informações pessoais e documentos sensíveis dos seus clientes – não através de ataques sofisticados, mas por não seguirem práticas básicas de cibersegurança. Além do recente burburinho sobre vulnerabilidades descobertas pela IA e novos recursos de segurança cibernética, muitas vezes incidentes de segurança consideráveis resultam de erro humano, configurações incorretas ou falha na adesão às melhores práticas de segurança cibernética.
Em um e-mail reconhecendo a exposição, o diretor da Reqrea, Masataka Hashimoto, disse ao TechCrunch: “Estamos conduzindo uma revisão completa com o apoio de consultores jurídicos externos e outros consultores para determinar o escopo completo da exposição”.
Reqrea disse que não sabe como o depósito de armazenamento se tornou público. Por padrão, os buckets de armazenamento em nuvem da Amazon são privados. Depois de uma série de baldes de armazenamento de clientes expostos há alguns anos, a Amazon adicionou vários avisos aos clientes antes que os dados pudessem ser tornados públicos, tornando esse tipo de lapso cada vez mais difícil de ocorrer acidentalmente.
Hashimoto disse ao TechCrunch que a empresa planeja notificar os indivíduos afetados assim que concluir sua investigação.
Ainda não está claro se alguém além de Sen acessou os dados expostos antes de serem protegidos. Hashimoto disse que a empresa está revisando seus registros para determinar se houve algum acesso autorizado antes de proteger o balde.
Detalhes do balde exposto também foram capturados por GrayHatWarfareum banco de dados pesquisável que indexa armazenamento em nuvem visível publicamente. A lista de baldes contém arquivos que datam do início de 2020 até este mês e inclui documentos de identidade de visitantes de países ao redor do mundo.
O lapso do sistema de check-in do resort segue-se a outros incidentes envolvendo documentos confidenciais emitidos pelo governo. No início deste ano, o TechCrunch informou sobre a exposição de carteiras de motorista, passaportes e outros documentos de identidade enviados por clientes do serviço de transferência de dinheiro Duc App. Uma violação de dados no serviço de aluguel de automóveis Hertz no ano passado fez com que hackers roubassem informações de carteiras de motorista pertencentes a pelo menos 100.000 clientes.
Estes incidentes ocorrem numa altura em que os governos estão a implementar cada vez mais leis de verificação de idade e as empresas privadas estão a utilizar verificações do tipo “conheça o seu cliente” para verificar a identidade de uma pessoa. Ambos dependem do add de documentos confidenciais por adultos, muitas vezes para empresas terceirizadas, para verificação, apesar das críticas de especialistas em segurança cibernética. Os lapsos de dados podem colocar as pessoas cujas informações foram obtidas em maior risco de fraude de identidade ou de terem a sua imagem utilizada indevidamente, à medida que os requisitos de verificação de idade se instalam em todo o mundo.
Quando você compra por meio de hyperlinks em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
